на самом · 2020-05-09 · 9007@yandex.ru Посмотрим для tema-x@inbox.ru...

На текущий момент существует несколько однотипных мошеннических сайтов, якобы (на самом

деле ничего не продается, а идет кидок на деньги по давно отработанной схеме, которую

мошенники многократно использовали в прошлом) продающих маски:

2maski.ru

2mask.com.ua

maski2.ru

maskarus.ru

opisanie.su/med-maska

opisanie.su/medik.html

opisanie.su/maska-kz

На этих сайтах указаны контакты для связи:

Email: cn-partner@mail.ru и ukraina1960@bk.ru

Whatsapp: 79645829878 и 380972451427

В качестве Email для восстановления у cn-partner@mail.ru указан:

tem***@list.ru

Далее обратимся к статье на Хабре (https://habr.com/ru/post/496362/). Ребятам удалось выявить

аналогичные мошеннические схемы и до момента нахождения профиля Виктор Павлович в

соцсети Мой Мир (https://my.mail.ru/bk/kz-leo/) их расследование шло как надо и обнаружился

еще один Email мошенника:

kz-leo@bk.ru

Теперь посмотрим пароли для kz-leo@bk.ru во всех возможных базах утечек. Находится только

один вариант пароля:

112233

Хорошо. Поищем обратным поиском все варианты Email в зоне .ru с паролем 112233. Находится:

tema-x@inbox.ru

9007@list.ru

9007@mail.ru

9007@qip.ru

9007@yandex.ru

Посмотрим для tema-x@inbox.ru другие пароли:

ptyf123

vfhbif

Отлично. Опять поищем обратным поиском все варианты Email в зоне .ru с паролями ptyf123 и

vfhbif. Находится несколько Email и для КАЖДОГО указаны ОБА пароля:

tema-x@list.ru

tema-x@mail.ru

tema-x@newmail.ru

tema-x@qip.ru

tema-x@rambler.ru

tema-x@ya.ru

tema-x@yandex.ru

Погодите, а что нам напоминает tema-x@list.ru? Точно! Для восстановления доступа к cn-

partner@mail.ru был указан Email tem***@list.ru, о чем написано выше. Возможно связь

недостаточно железобетонная, но как будет показано далее все сошлось.

В качестве Email для восстановления у tema-x@list.ru указаны:

900*@mail.ru

tem***@inbox.ru

Опять очень знакомые шаблоны. Да, выше мы нашли по паролю 112233 Email 9007@mail.ru.

Далее число 9007 еще всплывет несколько раз в различных видах. А tema-x@inbox.ru подходит

под второй шаблон.

Таким образом у нас есть прямая связь между Email cn-partner@mail.ru, указанным на

мошеннических сайтах и tema-x@list.ru, а также между tema-x@list.ru и 9007@mail.ru, tema-

x@inbox.ru.

В соцсети Мой Мир для tema-x@list.ru есть профиль Король Артур (https://my.mail.ru/list/tema-x/).

Из примечательного только одна фотка какого-то средиземноморского городка

(https://my.mail.ru/list/tema-x/photo/_myphoto/1.html?ps=1).

Яндекс поиском по картинкам находит это место (примечательная гора на заднем плане:

https://www.evroest.com/images/obj/1038/4e92e4d3a5e66.jpeg) – Altea Hills, Аликанте, Испания.

Кроме того, точно такая же картинка находится и для 9007@mail.ru (https://my.mail.ru/mail/9007/).

Запомните инициалы ОР (кирилицей), в конце будет понятно от какого имени/фамилии они.

Кстати, для tema-x@inbox.ru тоже есть свой Король Артур (https://my.mail.ru/inbox/tema-x/).

Пока больше ничего интересного, просто запомним это все.

Как известно из уже упоминавшийся статьи на Хабре (https://habr.com/ru/post/496362/), до масок

мошенник занимался обманом и на других темах (видеокарты, недвижимость, автомобили).

Видеокарты для майнинга продавались на ныне не существующих сайтах buyasic.org, asicbuy.org и

rubitmain.info, где был указан Email:

rubitmain@mail.ru

Поиском по tema-x@inbox.ru находим профиль на сайте free-lancing.com (https://www.free-

lancing.com/ru/user/profile/240456):

brabus9007

Какие знакомые цифры 9007!

Поиском по tema-x@list.ru на известном хакерском форуме Античат находим пост

(https://antichat.com/threads/331947/), в котором разоблачают кидалу и в логах переписки

светится номер ICQ 417274504.

Там же есть еще один пост (https://antichat.com/threads/333555/), где фигурирует tema-x@list.ru и

ICQ 417274504.

Посмотрим, что есть на Античате по rubitmain. Находим такого юзера

(https://antichat.com/search/169954244/) и в его посте (https://antichat.com/threads/476506/)

контакт в Телеграм:

@br9007

Опять знакомые цифры 9007!

Кстати, еще там есть пост (https://antichat.com/threads/476666/) про поиск спеца по раскрутке

сайта с масками.

Если продолжить искать rubitmain, то на знаменитом форуме Пробив находим пост

(https://probiv.bz/threads/xaba-zablokiroval-a-polzovatelja-rubitmain.27673/) его бессменного

админа, в котором банят юзера rubitmain за ботоводство и в качестве бота указан юзер:

Brabus7777

Выше мы уже нашли профиль нашего мошенника brabus9007, теперь Brabus7777, а в его

Телеграм @br9007 указано имя Korol Artur. Какая-то нездоровая любовь к Королю Артуру и

мерседесам.

Есть у злодея и профиль artur9007 (https://www.best-lance.ru/users/profile?userid=18750), под ним

он когда-то искал исполнителя по размещению объявлений о продаже квартир (https://www.best-

lance.ru/orders/order_8247), указав Email tema-x@list.ru и ICQ 689544597.

Теперь о мерседесах. На форуме mercedesdriver.ru есть пользователь 9007

(https://www.mercedesdriver.ru/user-9987/) с паролем 112233 (помните в самом начале этот

пароль фигурировал при поиске всех адресов мошенника?) и в его профиле указан Email:

9007@list.ru

Наш клиент в 2009 году ездил на “Мерседес SLK 230 R170” 1998 г.в.

(https://www.benzclub.ru/forum/showthread.php?p=732148&styleid=2).

Теперь внимательнее посмотрим на Телеграм @br9007. Поиском в Google находится пост

(http://darkmarket.vc/threads/kuplju-probiv.28580/) на другом известном форуме DarkMarket от

юзера Виктор Павлович.

Виктор Павлович нам уже хорошо знаком по статье на Пикабу

(https://pikabu.ru/story/kak_viktor_pavlovich_iz_gretsii_kvartiru_prodaval_4662587) про мошенника,

продававшего квартиры.

Во втором посте (http://darkmarket.vc/threads/delaem-zalivy-na-bystrye-denezhnye-

perevody.21529/) на том же форуме Виктор Павлович сообщает нам номер телефона

79650362457, на который зарегистрирован его Телеграм.

Пробив номер по сервисам деанонимизации Телеграм получаем:

PHONE: 79650362457

USERNAME: br9007

PRINT_NAME: Korol Artur

PEER_ID: 323021247

Итого, на хакерских форумах мошенник создал нескольких юзеров:

- Виктор Павлович (DarkMarket) - tema-x@inbox.ru:112233a

- MAGNUM2 (Античат) - tema-x@inbox.ru:112233a

- rubitmain (Античат) - rubitmain@mail.ru:112233a

- brabus9007 (Античат) - tema-x@list.ru:112233

Обратили внимание на его пароли? Старый добрый 112233 и его модификация 112233a, с

которого все и началось.

Посмотрим к каким другим сервисам подходят пароли 112233 и 112233a для разных Email

мошенника:

- fl.ru - kibbiz@mail.ru:112233a

- kwork.ru - kibbiz@mail.ru:112233a

- billing.multiaccaunt.ru - kibbiz@mail.ru:112233

- billing.multiaccaunt.ru - tema-x@list.ru:112233

- billing.multiaccaunt.ru - tema-x@inbox.ru:112233

- Instagram.com - kz-rublev@mail.ru:112233a

Email kibbiz@mail.ru ранее тут не описывался, но он легко находится поиском в Google/Яндекс и

связан с ныне несуществующим мошенническим сайтом kibbiz.info.

Обратили внимание на сайт cn-partner.ru расположившийся на том же самом IP?

В контактах там значится тот же Email, что и на сайтах с масками:

cn-partner@mail.ru

Также Email kibbiz@mail.ru указывался при регистрации домена informacia.su – на этом сайте

раньше располагались объявления (https://www.cian.ru/sale/flat/153872311/,

https://www.cian.ru/sale/flat/153874122/) о продаже квартир по все той же схеме (подробнее про

схему тут https://www.habrealty.ru/pokupatelyu/moshennichestvo-pri-prodazhe-kvartiryi.html).

Вернемся к аккаунтам злодея:

- Сервис billing.multiaccaunt.ru (https://vk.com/multiaccountav) используют для создания

множественных аккаунтов (клонов), в основном мошенники на Авито. В одном из трех

профилей (tema-x@inbox.ru) у мошенника указано имя Артур.

- Сервис fl.ru многим хорошо знаком. Мошенник тут ищет

(https://www.fl.ru/projects/4364329/trebuetsya-raskrutka-sayta.html) исполнителя на работу

по раскрутке сайта 2maski.ru.

Пользователь kibbiz с Email kibbiz@mail.ru пишет в одном из сообщений исполнителю свой

Телеграм @br9007 и имя Артур.

А в другом сообщении указывает для Телеграм @br9007 телефон 79650362457 (который

мы выявили ранее).

Кроме того, kibbiz/Артур предлагает исполнителям потренироваться на своем новом сайте

maskarus.ru.

Для доступа к этому сервису мошенником использовались “Opera (Windows 10)”, “Chrome

(Windows 10)” и IP-адреса:

20.04.2020 - 85.48.188.226 (Huelva, Испания, Orange Espagne SA)

15.04.2020 - 84.78.250.90 (l'Alfas del Pi, Испания, Orange Espagne SA)

12.04.2020 - 84.78.251.77 (Palma, Испания, Orange Espagne SA)

23.03.2020 - 85.52.230.205 (Orihuela, Испания, Orange Espagne SA)

- Инстаграм-аккаунт @kzrublev (https://www.instagram.com/kzrublev/), рекламирует маски

и в качестве контактов указан Email cn-partner@mail.ru и телефон +79645829878 - те же

самые контакты, что на мошеннических сайтах с масками (см. начало статьи).

Как отмечалось выше, @kzrublev привязан к Email kz-rublev@mail.ru. Для входа в аккаунт

требуется доступ к телефону с шаблоном номера 7 *** ***-**-91.

- Аккаунт maskimask для Яндекс.Метрика (metrika.yandex.ru), зарегистрированный на Email

maskimask@yandex.ru с паролем 3QtRIX2iuT, о чем мошенник пишет исполнителю на fl.ru

(см. выше). Этот аккаунт привязан к телефону:

79645574491

Номер попадает под шаблон 7 *** ***-**-91 для Инстаграм-аккаунта @kzrublev (см.

выше).

На этот номер зарегистрирован счет в Тинькофф Банке, оформленный на Антон С.

Кроме того, данный номер и Email kram-2@mail.ru фигурирует во множестве

мошеннических объявлений

(http://www.mydoska.com/zhilaya_nedvizhimost/prodam/kvartiry/823770.html) о продаже

недвижимости.

По нему находится Крамер Виктор Павлович (https://afy.ru/user/106204), а как мы помним

Виктор Павлович это одно из любимых имен злодея.

В утекшей базе ресурса kvadroom.ru по номеру телефона 79645574491 находится

пользователь Виктор с Email kram-2@mail.ru и паролем 96964, зарегистрированный

09.09.2014.

На Avito.ru данный телефон зарегистрирован на пользователя Собственник с Email

gtr.tgtr111@mail.ru и паролем 112233 (все тот же любимый пароль, что и везде).

Поиском по утекшей базе ресурса barahla.net для Email kram-2@mail.ru находится

пользователь Виктор с телефоном 79667548788, зарегистрированный 19.12.2014.

- Ящик almaty@inbox.lv на почтовом сервисе www.inbox.lv имеет все тот же пароль 112233a.

Email almaty@inbox.lv фигурирует (https://m.pro-n.by/news/companies/8190/) в списке

контактов квартирного мошенника с именем Виктор Павлович (и другими).

Там же указан еще один его Email kram-22@inbox.lv, связанный с kram-2@mail.ru (см.

выше). Связь этих Email описана тут (https://www.cian.ru/forum-rieltorov-budte-bditelny-

dannye-personazh-uzhe-publikuet-objavlenija-v-regionah-267148/).

Для доступа к этому ящику мошенником использовался IP-адрес:

11.07.2016 - 90.174.4.68 (Orihuela, Испания, Orange Espagne SA)

Доступ в ящик almaty@inbox.lv позволяет увидеть некоторые интересные входящие

письма:

11.05.2015 - пустое письмо от 9007@mail.ru с IP-адреса 81.34.127.58 (Cadiz, Испания,

Telefonica de Espana Sau)

12.06.2015 - пустое письмо от tema-x@inbox.ru с IP-адреса 81.36.169.105 (Girona, Испания,

Telefonica de Espana Sau)

16.01.2016 - пустое письмо от tema-x@inbox.ru с IP-адреса 83.47.168.88 (la Nucia, Испания,

Orange Espagne SA)

09.07.2016 - пустое письмо от 9007@list.ru с IP-адреса 90.174.4.68 (Orihuela, Испания,

Orange Espagne SA)

la Nucia находится совсем рядом с уже известным нам Altea Hills (там та примечательная

гора с фотографии в профиле Короля Артура).

Кроме того, во входящих нашлось письмо от natalisvs@mail.ru. Именно этот Email завел

расследование на Хабре (https://habr.com/ru/post/496362/) не туда.

Скорее всего этот человек не имеет никакого отношения к мошенничествам, а просто

контактировал со злодеем по теме покупки квартиры.

- Ящик aktau@inbox.lv на почтовом сервисе www.inbox.lv с тем же самым паролем 112233a.

Email aktau@inbox.lv связан

(https://pikabu.ru/story/rumyinskie_nigeriyskie_pisma_schastya_4116616) с известным нам

kz-leo@bk.ru, с которого все и начиналось.

В ящике aktau@inbox.lv нашлось входящее, как и в ящике almaty@inbox.lv (см. выше):

16.01.2016 - пустое письмо от tema-x@inbox.ru с IP-адреса 83.47.168.88 (la Nucia, Испания)

- Вкратце по остальным ящикам мошенника (почти у всех у них один и тот же пароль

112233a):

kz-rublev@mail.ru - 19.05.2017 исходящее письмо на tema-x@inbox.ru с платежкой (от

жертвы развода). 28.01.2018, 13.02.2018, 14.02.2018 исходящие письма с платежками на

bingo7777777@list.ru. К ящику привязан телефон 79639915134.

Так же есть письмо от Instagram, говорящее нам, что 14.01.2020 пользователь @kzrublev

входил в Инстаграм-аккаунт с устройства Redmi Note 2 из Valencia, Испания.

peskov-60@bk.ru - 01.06.2017 исходящее письмо на 9007@mail.ru.

ukraina1960@bk.ru - пустое входящее письмо от tema-x@inbox.ru. В профиле указан

Виктор Павлович Рублев, 04.01.1960. Для доступа к ящику мошенником использовались

“Opera (Windows 10)”, “Chrome (Windows 10)”, “Apple iPhone” и IP-адреса:

30.03.2020 - 84.78.251.230 (Palma, Испания, Orange Espagne SA)

27.03.2020 - 85.52.230.130 (Orihuela, Испания, Orange Espagne SA)

22.10.2019 - 84.78.248.53, 84.78.248.97 (Nules, Испания, Orange Espagne SA)

21.10.2019 - 185.5.86.234 (Malaga, Испания, Free Technologies Excom S.L.)

tula-kram@mail.ru - 14.01.2014, 08.07.2014 и 09.07.2014 исходящие письма на tema-

x@inbox.ru с платежками.

rb-1960@inbox.lt - в профиле указан Виктор Павлович Рублёв, 04.01.1960

technic89@inbox.ru - привязан телефон с шаблоном номера 7926487****

kibbiz@mail.ru - привязан телефон с шаблоном номера 7916376****. Во входящих есть

рассылка от Тинькофф Банка адресованная Антону Викторовичу от 21.04.2020. Кроме

того, присутствует переписка с fl.ru (см. выше). В исходящих есть интересное письмо от

14.04.2019 с еще одной мошеннической темой.

uslovia@inbox.ru - переписка по теме недвижимости.

maskimask@yandex.ru (пароль 3QtRIX2iuT) - для доступа мошенником использовались IP-

адреса:

31.03.2020 - 84.78.250.104 (l'Alfas del Pi, Испания, Orange Espagne SA)

21.03.2020 - 85.52.230.205 (Orihuela, Испания, Orange Espagne SA)

maskivadim@yandex.ru (пароль 123qweasdzxc) – для доступа мошенником использовались

IP-адреса:

03.04.2020 - 84.78.250.108 (l'Alfas del Pi, Испания, Orange Espagne SA)

30.03.2020 - 84.78.251.230 (Palma, Испания, Orange Espagne SA)

27.03.2020 - 85.52.230.130 (Orihuela, Испания, Orange Espagne SA)

- Кроме того, у мошенника есть Facebook аккаунты (почти у всех у них пароль 112233a):

Милана Шереметьева (https://www.facebook.com/profile.php?id=100000743965491)

привязан к Email 9007@mail.ru. Практически пустой аккаунт с чужой фотографией,

украденной из ВКонтакте (https://vk.com/id59185183). В описании профиля указан сайт

ykrast.net. Для доступа в аккаунт мошенником использовались IP-адреса:

11.11.2019 - 85.52.230.136 (Orihuela, Испания, Orange Espagne SA)

04.11.2019 - 185.05.86.234 (Malaga, Испания, Free Technologies Excom S.L.)

09.04.2018 - 217.70.252.98 (Altea, Испания, Dragonet Comunicaciones SL)

Олег Испанец (https://www.facebook.com/profile.php?id=100015403156134) привязан к

Email 9007@list.ru. Просто запомните это фото из профиля

(https://www.facebook.com/profile.php?id=100015403156134).

Для доступа в аккаунт мошенником использовались “Chrome для Windows 10”, “Yandex

Browser”, “Opera для Windows 10” и “Facebook for iOS”.

Друзья скрыты, но можно получить список 5 профилей, для подтверждения личности при

входе в Facebook:

Medea Nachkebia (https://www.facebook.com/profile.php?id=100007325979581)

Goga Nachkebia (https://www.facebook.com/goga.nachkebia.5)

Gocha Nachkebia (https://www.facebook.com/gocha.nachkebia)

Soso Khvichia (https://www.facebook.com/soso.khvichia.7)

Vika Belyakova (https://www.facebook.com/vika.belyakova.spain)

На номерах 79645574491 и 79639915134, описанных выше, также есть аккаунты Facebook.

Первый принадлежит профилю Артур К… (скорее всего Артур Король), привязан к Email с

шаблоном a******r@l***.ru, для доступа в аккаунт мошенником использовались

“Facebook for Android”, “Opera для Windows 10” и “Facebook for iOS”.

Из перечисленной выше информации по аккаунтам можно сделать вывод, что мошенник работает

из Испании, на операционной системе Windows 10, использует iPhone, Xiaomi Redmi Note 2,

пользуется браузерами Chrome, Yandex и Opera и мобильным интернетом в основном от

оператора Orange.es и стационарным интернетом от Dragonet Comunicaciones.

В некоторые сервисы он заходит через прокси, предоставляемые сервисом billing.multiaccaunt.ru

(см. выше) и тогда меняется его User-Agent, IP-адрес и т.п.

Распределение IP по карте Испании выглядит так.

Зеленым отмечен известный нам городок Altea Hills.

Ну что, теперь, когда у нас есть полная картина по связанным между собой Email, аккаунтам в

некоторых сервисах, социальных сетях и форумах, IP-адресам, телефонам, пора перейти к поиску

стоящего за всем этим реального человека. Или двух. Или даже трех.

Снова заглянем в соцсеть Мой Мир уже для 9007@list.ru (https://my.mail.ru/list/9007/). Не очень

информативно, но есть два друга:

1. Olga Potapovitch (https://my.mail.ru/mail/oljashaspain/), Email: oljashaspain@mail.ru

2. Татьяна Графт (https://my.mail.ru/bk/tatyana1959/), Email: tatyana1959@bk.ru

Ольга Потапович жена казахстанского легкоатлета по прыжкам с шестом Игоря Потаповича

(https://ru.wikipedia.org/wiki/%D0%9F%D0%BE%D1%82%D0%B0%D0%BF%D0%BE%D0%B2%D0%B8%D

1%87,_%D0%98%D0%B3%D0%BE%D1%80%D1%8C_%D0%93%D0%B5%D0%BD%D0%BD%D0%B0%D0%

B4%D1%8C%D0%B5%D0%B2%D0%B8%D1%87), занявшего 4 место на олимпиаде в Атланте.

Сейчас они проживают в Altea, Spain (помните этот средиземноморский городок?). Это можно

выяснить по ее странице в Facebook (https://www.facebook.com/olga.potapovitch).

C Татьяной Графт все сложнее. У неё частично закрытый профиль. Есть несколько открытых фото и

названия альбомов. Есть еще скрытое фото, доступное только по прямой ссылке

(https://my.mail.ru/bk/tatyana1959/photo/_publisher/278.html).

По этой фотографии можно узнать, что некая девочка с именем Сабина Туганбаева, получила в

Дюссельдорфе в 2011 году сертификат по карате. Поиском в Яндекс находим профиль Сабина

Туганбаева (https://my.mail.ru/mail/sabina.graf/) из Дюссельдорф, Германия с Email

sabina.graf@mail.ru.

Кстати, вот фото Сабины Туганбаевой из альбома Татьяны Графт, подписанное как “с

братишкой” (https://my.mail.ru/bk/tatyana1959/photo/_mypagephoto/237.html?ps=1). Запомним

его.

В друзьях у Ольги Потапович на Facebook есть Татьяна Туганбаева

(https://www.facebook.com/profile.php?id=100024096730549), а у нее в друзьях еще одна Татьяна

Туганбаева (https://www.facebook.com/profile.php?id=100002002595369).

Рассмотрим семейное фото из альбома Татьяны Туганбаевой в соцсети Мой Мир

(https://my.mail.ru/bk/tatyana1959/photo/2/162.html).

Слева направо:

- Игорь Игоревич Туганбаев (сын, https://www.facebook.com/100008383394570,

https://vk.com/dontsleepigor)

- Татьяна Васильевна Туганбаева (мать)

- Игорь Маратович Туганбаев (отец)

- Сабина Игоревна Туганбаева (дочь)

- неизвестный.

Если посмотреть на геотег фотки Игоря Игоревича Туганбаева

(https://vk.com/dontsleepigor?z=photo232334200_333827296%2Fphotos232334200), то можно

увидеть название знакомого нам уже средиземноморского испанского городка Altea.

Чуть выше мы видели фото Сабины Туганбаевой “с братишкой”. Братишка очень похож на

нашего неизвестного на семейном фото. Прямо одно лицо. Кроме того, названия альбомов

(https://my.mail.ru/bk/tatyana1959/photo) у Татьяны Туганбаевой говорят сами за себя:

- олежа с сынулей

- внуча

- Артурчик

Можно предположить, что “братишку” зовут Олег Игоревич Туганбаев и у него есть сын Артур,

внук Татьяны Туганбаевой. Помните, мы отмечали, что у мошенника какая-то нездоровая любовь

к Королю Артуру?

Для подтверждения версии относительно личности неизвестного на семейном фото,

воспользуемся сервисом поиска лиц в соцсети ВКонтакте. К нашему удивлению там находится

Димитрий Лордов (https://vk.com/id37857391).

По данным утекшей базы ВКонтакте, в 2012г с профилем Димитрия Лордова был связан Email

brabus_dima@mail.ru, город Новосибирск и пароль 770909.

В Skype по Email brabus_dima@mail.ru находятся два контакта:

brabus_dima

brabus_0909

Продолжим пробивать Димитрия Лордова:

Постила (https://postila.ru/id5548685) - на Email brabus_0909@mail.ru зарегистрирован профиль

Дмитрий Донцов.

ВКонтакте (https://vk.com/id22405836) - на Email brabus_0909@mail.ru зарегистрирован профиль

Дима Дима, с паролем 770909. Учетка заблокирована за злоупотребления.

Авито - на Email brabus_77777@mail.ru зарегистрирован профиль Дмитрий, с телефоном

79099108191 и паролем 770909.

Мой Мир (https://my.mail.ru/mail/brabus_0909/) - на Email brabus_0909@mail.ru зарегистрирован

заблокированный профиль Дмитрий Донцов.

Ох уж этот любимый мерседес (brabus9007, Brabus7777, br9007, brabus_dima, brabus_0909,

brabus_77777).

Поиском в Google по brabus_0909@mail.ru находится ролик в Youtube

(https://www.youtube.com/watch?v=-v2SBsU6cE8), в котором упоминается телефон 89670254813.

Кроме того, в друзьях у Татьяны Туганбаевой на Facebook (в обоих ее профилях, см. выше) есть

Демитрий Демьянов (https://www.facebook.com/profile.php?id=100007503693682).

На аватарке у Демитрия Демьянова стоит фотография из альбома Димитрия Лордова

(https://vk.com/id37857391?z=album37857391_109970436), а аккаунт Facebook привязан к Email

brabus_0909@mail.ru.

На Фотостране (https://fotostrana.ru/user/85682433/) в профиле Демитрия Демьянова из

Барселоны кто-то сильно похожий на нашего неизвестного с семейного фото и с фото Сабины

Туганбаевой (подписанного как “с братишкой”) из альбомов Татьяны Туганбаевой (см. выше).

В друзьях у Димитрия Лордова находится Сабина Абрамович (https://vk.com/id163752171) из

Дюссельдорфа, неотличимая от Сабины Игоревны Туганбаевой.

Интерес представляет вот эта фотография

(https://vk.com/id163752171?z=photo163752171_278882423%2Fphotos163752171) от 11.02.2012.

Слева направо:

- ресторан Costa d’Altea (Restaurante Costa d´Altea, Cap-negret, 18, 03590 Altea, Alicante,

Spain)

- Дмитрий Игоревич Туганбаев (он же Димитрий Лордов, Дмитрий Донцов, Демитрий

Демьянов)

- Мария Романова (https://vk.com/id3628304, https://my.mail.ru/mail/romanova_mv85/,

https://24open.ru/user/romanova-mv85/,

https://www.facebook.com/profile.php?id=100009344373622,

https://www.facebook.com/maria.ro.1257)

- Игорь Маратович Туганбаев

- Татьяна Васильевна Туганбаева (она же Татьяна Графт)

- Сабина Игоревна Туганбаева (она же Сабина Абрамович, Сабина Граф)

- неизвестный

- неизвестная

- автомобиль Porsche Cayenne с номером н046нн150, зарегистрированный на Нагоева

Фарида Нурбиевна, 03.06.1981 г.р. (http://мфц.рф/profile/Farida).

Сначала найдем на картах Google этот ресторан (https://goo.gl/maps/aBGT5UR3z5hgLivM7).

За 8 лет мало что поменялось в испанском городке Altea, но ресторан вывеску слегка изменил.

Теперь поиском по лицам попробуем найти профиль неизвестного в соцсети ВКонтакте. Вот на

этой фотке (https://vk.com/id163752171?z=photo163752171_278857121%2Fphotos163752171) его

самого и его характерные татуировки видно гораздо лучше.

Поиск по лицам находит профиль Олег Эйтан (https://vk.com/id300697927). Знакомое фото? Это

же Олег Испанец (https://www.facebook.com/profile.php?id=100015403156134), найденный выше.

У Олега Эйтана очень характерные татуировки (https://vk.com/photo300697927_434886912).

А еще он любит кататься на одном и том же водном мотоцикле. Это фото 2015 года из профиля

Олега Эйтана (https://vk.com/photo300697927_372230608).

А это фото 2011 года из профиля Татьяны Васильевны Туганбаевой

(https://my.mail.ru/bk/tatyana1959/photo/217/218.html?ps=1).

Знакомьтесь, Олег Игоревич Туганбаев! Дмитрия Игоревича Туганбаева (Дмитрия Донцова) на

семейном фото в альбоме их матери мы изначально приняли именно за него (см. выше). Артур

его сын (вспоминаем название альбома “олежа с сынулей”) и это он представляется Королем

Артуром.

Строгим поиском в Яндекс по Туганбаев Олег находим заявку от 15.09.2013

(https://poisk.vid.ru/?p=10&view=letter&id=2295151) на сайте Жди Меня.

Строгий поиск в Google по Туганбаев Олег возвращает нам три интересные ссылки:

1. Авто.ру и тема “Моя переписка с этими недоумками” (https://forum.auto.ru/gai/824616/)

от 4 октября 2007. Тут Туганбаев Олег Игоревич фигурирует в качестве дропа, на чей счет

(40820840204210000006) предлагалось перевести деньги за изготовление фальшивых

документов (паспорта, права).

2. Банкир.Ру и тема “Как Вернуть деньги, перечисленные на неправильный счет”

(https://bankir.ru/dom/forum/%D0%BA%D0%BB%D0%B8%D0%B5%D0%BD%D1%82%D1%81%

D0%BA%D0%B8%D0%B9-

%D0%B7%D0%B0%D0%BB/%D1%80%D0%B0%D1%81%D1%87%D0%B5%D1%82%D1%8B-

%D0%B8-%D0%BF%D0%B5%D1%80%D0%B5%D0%B2%D0%BE%D0%B4%D1%8B/45535-

%D0%BA%D0%B0%D0%BA-%D0%B2%D0%B5%D1%80%D0%BD%D1%83%D1%82%D1%8C-

%D0%B4%D0%B5%D0%BD%D1%8C%D0%B3%D0%B8-

%D0%BF%D0%B5%D1%80%D0%B5%D1%87%D0%B8%D1%81%D0%BB%D0%B5%D0%BD%D0%B

D%D1%8B%D0%B5-%D0%BD%D0%B0-

%D0%BD%D0%B5%D0%BF%D1%80%D0%B0%D0%B2%D0%B8%D0%BB%D1%8C%D0%BD%D1%8

B%D0%B9-%D1%81%D1%87%D0%B5%D1%82) от 9 ноября 2007. Тут Туганбаев Олег

Игоревич также фигурирует в качестве дропа в мошеннической схеме, но уже с другим

счетом в Альфа-банке (40820810404210000014).

3. Profit Forum #1 и тема “Www.rakar.ru КОГО КИНУЛИ ОТПИШИТЕСЬ!!”

(https://pf1.ru/topic18667.html) от 24 августа 2008. Тут фигурируют сразу два мошенника

Туганбаев Олег и Дмитрий Игоревич. Можно предположить, что братья работают вместе.

Ведь как мы выяснили ранее у нас есть Олег Игоревич Туганбаев - любитель Короля

Артура и Дмитрий Игоревич Туганбаев - любитель мерседесов брабус.

Сделав запрос к известной в узких кругах базе Антикриминал, мы узнаем, что 12 апреля 2007 года

Туганбаев Олег Игоревич 1979 г.р. из г. Алма-Ата, Казахстан был арестован в Москве за

мошенничество в рамках уголовного дела (№ 91122) и доставлен в ОВД по ЦАО (сейчас это Отдел

полиции Китай-город).

Заглянем еще в фотки Олега Игоревича Туганбаева (Олега Эйтана) во ВКонтакте

(https://vk.com/id300697927?z=photo300697927_405157372%2Fwall300697927_13).

Какой интересный потолок в доме в испанском городке Altea. 2016 год, но где-то мы такое видели

раньше…

В соцсети Мой Мир у пользователя с Email 9007@mail.ru в 2014 году в доме еще шел ремонт

(https://my.mail.ru/mail/9007/photo/4/62.html), но потолок уже был готов.

Пол тоже красивый в 2016 году

(https://vk.com/id300697927?z=photo300697927_405157369%2Fwall300697927_13).

(https://my.mail.ru/mail/9007/photo/4/5.html)

Хотя и в 2014 он был уже таким (https://my.mail.ru/mail/9007/photo/4/5.html).

Пора найти то место, где конкретно живет Олег Игоревич Туганбаев.

В альбоме “дом” есть фотография дома снаружи, а на некоторых фотографиях геотеги Calle Loteria,

Altea и Calle Suiza, Altea.

Поиском по Google Street View в Calle Loteria Altea находим этот дом

(https://goo.gl/maps/NWizQ1MAhM7aunx89).

Calle Loteria, 31, Altea, Alicante (Referencia catastral: 9811013YH5891S0002QA,

9811013YH5891S0003WS).

Вероятно, в этом доме Олег Игоревич Туганбаев (он же Олег Эйтан) живет вместе со своей женой

Фридой Розенгольц (https://www.facebook.com/fa.nag1) и тремя детьми (Артуром, Леоном и

Изабеллой).

Фрида Розенгольц нашлась поиском по друзьям в Facebook Татьяны Туганбаевой

(https://www.facebook.com/profile.php?id=100024096730549).

Почему же в русском Facebook в профиле его жены указано Фрида Розенгольц, а в английском

варианте значится Фа Наг?

Розенгольц скорее

всего это фамилия от предыдущего брака (у ее сына Леона также фамилия Розенгольц).

Помните выше мы писали про Porsche Cayenne на семейной фотографии около ресторана -

собственника звали Нагоева Фарида Нурбиевна. Похоже имя/фамилия на Фа Наг?

Вот и праздничный тортик

(https://www.facebook.com/photo.php?fbid=1120669657962177&set=pb.100000574605188.-

2207520000..&type=3&theater) говорит нам, что зовут ее Фарида.

А в Инстаграме аккаунт ARBAT-Alicante (https://www.instagram.com/arbatalicante/) сообщает

(https://www.instagram.com/p/Bfq_mqxnF_8/), что Фарида Розенгольц является основателем

aroma lab в Бенидорме.

Поиском в Google/Яндекс по aroma lab бенидорм легко находим Интернет-магазин косметики и

парфюмерии Aroma-LAB (http://aroma-lab.es).

В самом низу сайта указаны реквизиты компании, им управляющей:

Rozengold S.L.(CIF:B42534727), +34 (966) 86-66-89, Espana, 03581, El Albir (Alfaz del Pi), C/Mozart 17

В адресе указан городок Alfaz del Pi (l'Alfas del Pi), именно из этого городка были заходы в

различные аккаунты мошенника (см. выше про IP-адреса).

Посмотрим открытые данные (http://www.infocif.es/ficha-empresa/rozengold-sl и

https://www.empresia.es/empresa/rozengold/) по испанской компании Rozengold S.L.

Владельцем и директором компании числится Rozengolts Oleg, т.е. Олег Розенгольц, а адрес

компании (Domicilio) указан:

C / LOTERIA 31 Esc.1 2 (ALTEA)

Это же адрес дома (Calle Loteria, 31, Altea, Alicante), в котором живет Олег Игоревич Туганбаев!

Получается наш мошенник сменил фамилию и теперь он Олег (Игоревич) Розенгольц.

Кстати, вот фотографии интерьеров этого дома из Facebook Фриды Розенгольц

(https://www.facebook.com/photo.php?fbid=1111634045532405&set=pb.100000574605188.-

2207520000..&type=3&theater и

https://www.facebook.com/photo.php?fbid=1111634018865741&set=pb.100000574605188.-

2207520000..&type=3&theater).

Узнаете пол и потолок?

Вернемся к компании Rozengold S.L., в Google легко находится ее сайт https://rozengold.es.

.

На сайте значится Rozengold Real Estate (https://www.facebook.com/Rozengold.property/,

https://vk.com/id483175425) - магазин по продаже и аренде недвижимости. Кажется, это вполне

легальный бизнес (https://www.spain-holiday.ru/pm/1489034) нашего мошенника.

В общем с мошенником, стоящим за сайтами с масками, обманом при покупке электроники,

недвижимости, автомобилей и человеческих органов все понятно. Сейчас это резидент Испании

Oleg Rozengolts.

Непонятным остается только один момент - каким образом Oleg Rozengolts связан с грузинами?

Выше для аккаунта в Facebook Олег Испанец нашлись несколько его друзей по фамилии

Nachkebia из Тбилиси.

Вот Артур и Леон Розенгольцы в альбоме у Gocha Nachkebia

(https://www.facebook.com/photo.php?fbid=1452606704868174&set=pb.100003565764324.-

2207520000..&type=3&theater)

Лайк этой фотографии поставила их бабушка - Татьяна Васильевна Туганбаева.

Вот сам Олег Розенгольц с сыновьями в том же альбоме

(https://www.facebook.com/photo.php?fbid=1544149882380522&set=pb.100003565764324.-

2207520000..&type=3&theater).

А тут 04.07.2018 Gocha Nachkebia затегал Олега Эйтана

(https://www.facebook.com/photo.php?fbid=1581622771966566&set=pb.100003565764324.-

2207520000..&type=3&theater) и сообщает, что он стал дядей в пятый раз и девочку зовут

Изабелла.

В комментариях к этой фотографии на вопрос “чья?”, он отвечает “моего брата Олега”.

Как мы помним дочку Олега Розенгольца зовут Изабелла (см. выше) и родилась она 04.07.2018

(https://www.facebook.com/photo.php?fbid=2162974180398381&set=pb.100000574605188.-

2207520000..&type=3&theater).

Скорее всего Олег Розенгольц/Эйтан/Туганбаев приходится не родным (возможно двоюродным)

братом Gocha Nachkebia.

Теперь посмотрим внимательнее на подельников Олега Игоревича Туганбаева (он же Олег

Розенгольц, Олег Эйтан).

Как отмечалось выше, есть большая доля вероятности, что его брат (возможно сводный) Дмитрий

Игоревич Туганбаев (до 2005/2006 года - Донцов Дмитрий Викторович, родившийся 11.03.1982 в

Новосибирске) до сих пор в теме. Насчет третьего их брата Игоря Игоревича Туганбаева серьезных

оснований так думать нет, хотя та еще семейка, все может быть.

Зато точно известно, что мошеннику нужны люди (дропы) на местах для получения переводов за

якобы проданные товары (маски, электронику, машины) и квартиры, а также для последующего

перевода этих денег ему на счет. В принципе, догадаться как именно выглядит эта схема не

сложно, но в нашем случае гадать не придется, т.к. злодей все сам описал и сохранил 21.11.2019 в

черновиках своего почтового ящика kibbiz@mail.ru.

Во входящих есть два письма (оба от 17.09.2019) с фотографиями на паспорт от потенциальных

кандидатов.

Кратко по кандидатам на дропы (слева направо):

- Роман Ершов, 24.04.1997, romabring1@gmail.com, https://vk.com/id37157277,

https://www.youtube.com/channel/UCsT9BGM5yC4dsNgtRrWyATA

- неизвестная, видимо подруга Артема Лещанова, для нее скорее всего делался паспорт на

имя Еникеева Олеся Маратовна

- Лещанов Артем Витальевич, 05.05.1997, super.qwerty123qwe2012@gmail.com,

https://vk.com/bassboost_lil_josh

Кроме того, очень похожее объявление “Нужны дропы (мужчина и женщина) для получения

быстрых денежных переводов - Москва” (http://darkmarket.vc/threads/nuzhny-dropy-muzhchina-i-

zhenschina-dlja-poluchenija-bystryx-denezhnyx-perevodov-moskva.35776/) от 29.10.2010 нашлось на

форуме DarkMarket от юзера rabota-po-banku (телефон 79639606122, Email rabota-po-banku,

Телеграм @rabota-po-banku). Выше мы уже показывали, что наши мошенники используют этот

форум.

Помимо схожести текста объявлений в черновике письма и на форуме, пользователь rabota-po-

banku использует все тот же пароль 112233.

02.02.2020 пользователь rabota-po-banku во внутренней переписке с другим пользователем

форума DarkMarket сообщает свои контакты (@br9007) в Телеграм.

Скорее всего за аккаунтом rabota-po-banku стоит любитель брабусов - Дмитрий Игоревич

Туганбаев.

Кстати, пароль от почтового ящика rabota-po-banku@mail.ru - 112233a. Там, в переписке был

найден еще один телефон:

79647640543

В Яндексе по этому номеру находятся несколько типовых, для наших мошенников объявлений, от

января 2020 года о продаже машин и даже трактора

(https://msk.gruzovik.ru/offers/agricult/tractor/jcb/3cx-super/935680/).

Еще из интересного во внутренней переписке на DarkMarket - rabota-po-banku (Дмитрий

Игоревич Туганбаев) 21.02.2020 пытался купить через гаранта форума услугу по переклейке

российского паспорта.

На Форуме Дубликатов rabota-po-banku также присутствует

(https://deep.dublikat.shop/threads/nuzhen-probiv-junistrim-vestern-union-monej-gramm-kontakt-

kalibri.140532/) с тем же самым паролем 112233.

А на форуме DarkMoney он фигурирует как rabotapobanku (https://darkmoney.de/sistemy-

denezhnyh-perevodov-25/nuzhen-probiv-yunistrim-vestern-union-monei-gramm-kontakt-kalibri-

201679/) пароль тот же - 112233.

На форуме Пробив, где уже банили юзеров rubitmain и Brabus7777

за ботоводство (см. выше) есть rabota-po-banku (https://probiv.bz/members/rabota-po-

banku.66077/) с паролем 112233a.

К Email rabota-po-banku@mail.ru привязан аккаунт Facebook Анна Энштейн

(https://www.facebook.com/rabota.po.banku) с паролем 112233a.

Пришедшие на Email kibbiz@mail.ru письма с фотографиями кандидатов пересылались на другой

Email:

bingo55555@mail.ru

Помните раньше мы установили, что с ящика kz-rublev@mail.ru пересылались платежки от

обманутых людей на Email bingo7777777@list.ru?

Два подозрительно похожих Email.

Вот так попытка найти злодеев, наживающихся на эпидемии коронавируса привела к

разоблачению людей, стоящих за огромным количеством мошеннических схем, обманувших

десятки людей и сейчас прекрасно живущих в Европе, маскируясь под успешных

добропорядочных бизнесменов.